IT審計業(yè)務(wù)內(nèi)容包括計算機(jī)資源管理審計、硬件軟件等獲取審計、系統(tǒng)軟件審計、程序?qū)徲?、?shù)據(jù)完整性審計、系統(tǒng)生命周期審計、應(yīng)用系統(tǒng)開發(fā)審計、系統(tǒng)維護(hù)審計、操作審計、安全審計等。根據(jù)國外IT審計實(shí)踐資料及國內(nèi)相關(guān)著作文獻(xiàn)，IT審計有以下幾個方面內(nèi)容：

 

　?。?）信息系統(tǒng)的管理、規(guī)劃與組織：評價信息系統(tǒng)的管理、計劃與組織方面的策略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù)。

 

　?。?）信息技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)：評價組織在技術(shù)與操作基礎(chǔ)設(shè)施的管理和實(shí)施方面的有效性及效率，以確保其充分支持組織的商業(yè)目標(biāo)。

 

　?。?）資產(chǎn)的保護(hù)：對邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評價，確保其能支持組織保護(hù)信息資產(chǎn)的需要，防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。

 

　?。?）災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃：這些計劃是在發(fā)生災(zāi)難時，能夠使組織持續(xù)進(jìn)行業(yè)務(wù)，對這種計劃的建立和維護(hù)流程需要進(jìn)行評價。

 

　　（5）應(yīng)用系統(tǒng)開發(fā)、獲得、實(shí)施與維護(hù)：對應(yīng)用系統(tǒng)的開發(fā)、獲得、實(shí)施與維護(hù)方面所采用的方法和流程進(jìn)行評價，以確保其滿足組織的業(yè)務(wù)目標(biāo)。

 

　?。?）業(yè)務(wù)流程評價與風(fēng)險管理：評估業(yè)務(wù)系統(tǒng)與處理流程，確保根據(jù)組織的業(yè)務(wù)目標(biāo)對相應(yīng)風(fēng)險實(shí)施管理。

 

　　二、信息系統(tǒng)工程監(jiān)理與IT審計的關(guān)系及比較

 

　　通過對信息系統(tǒng)工程監(jiān)理與IT審計的基本內(nèi)容進(jìn)行研究，下面將從兩者的相似性、不同點(diǎn)以及兩者的聯(lián)系和發(fā)展對其進(jìn)行分析。

 

　　1 信息系統(tǒng)工程監(jiān)理與IT審計的相似性

 

　　由于信息系統(tǒng)工程具有投資大、高技術(shù)、高風(fēng)險的特點(diǎn)，對信息系統(tǒng)進(jìn)行嚴(yán)格規(guī)范的控制至關(guān)重要，信息系統(tǒng)工程監(jiān)理和IT審計作為兩種信息系統(tǒng)工程監(jiān)管手段，二者都具有下列的特點(diǎn)：二者都是以管理為核心，以法律法規(guī)為保障，以技術(shù)為支撐，并以第三方的客觀立場，目的都是為了提高信息系統(tǒng)工程安全和質(zhì)量，降低信息化建設(shè)投資風(fēng)險。

 

　　2 信息系統(tǒng)工程監(jiān)理與IT審計的不同點(diǎn)

 

　　從信息系統(tǒng)工程監(jiān)理和IT審計的定義和工作內(nèi)容，我們可以看出二者的區(qū)別。區(qū)別主要反映在目標(biāo)、作用、覆蓋生命周期、與信息系統(tǒng)相關(guān)方的關(guān)系、使命的側(cè)重點(diǎn)及不同點(diǎn)，并由此派生出的實(shí)施效果、控制手段、最終工作成果不同點(diǎn)。

 

　　（1）從管理定位分析，信息系統(tǒng)工程監(jiān)理采取的是對工程項目進(jìn)行管理，管理對象是信息系統(tǒng)工程的集成企業(yè)和設(shè)備供應(yīng)商。而IT審計是對信息系統(tǒng)進(jìn)行檢查評價，沒有管理對象，只有審計對象。

 

　?。?）從管理特點(diǎn)分析，信息系統(tǒng)工程監(jiān)理是受業(yè)主單位委托，按照監(jiān)理合同要求，協(xié)助業(yè)主單位監(jiān)督檢查信息系統(tǒng)工程項目實(shí)施；要解決的是在信息系統(tǒng)工程項目實(shí)施過程中的質(zhì)量、進(jìn)度和投資額等是否滿足建設(shè)要求；重點(diǎn)是對實(shí)施過程的管理。IT審計是向IT審計對象的最高領(lǐng)導(dǎo)提出問題和建議；要解決的是信息系統(tǒng)有關(guān)的資產(chǎn)保護(hù)問題、數(shù)據(jù)完整性問題、系統(tǒng)有效性問題、系統(tǒng)效率問題；重點(diǎn)是對實(shí)施效果的評價。

 

　?。?）從管理效果分析，信息系統(tǒng)工程監(jiān)理一般應(yīng)用于信息系統(tǒng)工程項目的實(shí)施階段，并隨著信息系統(tǒng)工程項目實(shí)施的結(jié)束而結(jié)束；項目監(jiān)理過程是可見的，即對項目成本、進(jìn)度及質(zhì)量的事前、事中、事后進(jìn)行全過程控制；質(zhì)量控制手段包括評審、旁站、抽查等；最終工作成果是經(jīng)過驗(yàn)收的可以投入使用的信息系統(tǒng)。IT審計可以出現(xiàn)在信息系統(tǒng)生命周期的各個階段，但I(xiàn)T審計的有效行為更適用于信息系統(tǒng)工程的運(yùn)行使用過程中；對信息系統(tǒng)的安全性、可靠性與有效性的認(rèn)定具有不可見性；IT審計的方法通常包括面談法、問卷調(diào)查法、系統(tǒng)評審會等；最終工作成果主要是系統(tǒng)投入使用后的審計報告或信息系統(tǒng)生命周期每個階段的審計報告。

 

　?。?）從管理目的分析，信息系統(tǒng)工程監(jiān)理的目的是保證工程建設(shè)質(zhì)量、進(jìn)度和投資滿足建設(shè)要求。監(jiān)理活動隨著工程的完成而結(jié)束。IT審計的目的是合理保證信息系統(tǒng)能夠保護(hù)資產(chǎn)的安全、數(shù)據(jù)的·完整、有效地實(shí)現(xiàn)組織目標(biāo)并有效地利用組織資源，其核心是信息系統(tǒng)的效率、效果。不僅包括對建設(shè)過程的審計，還包括對信息系統(tǒng)的運(yùn)營審計，向公眾出具審計報告，鑒證信息系統(tǒng)能否保護(hù)企業(yè)資產(chǎn)安全，其產(chǎn)生、傳遞的信息是否完整，整個系統(tǒng)是否有效地實(shí)現(xiàn)組織目標(biāo)并有效地利用組織資源。只要信息系統(tǒng)在運(yùn)行，審計活動可能一直存在。

 

　　3 信息系統(tǒng)工程監(jiān)理與IT審計的聯(lián)系

 

　　信息系統(tǒng)工程監(jiān)理是借鑒國際上的先進(jìn)做法和國內(nèi)有關(guān)部門的經(jīng)驗(yàn)，合我國實(shí)際，建立了一套有中國特色的“信息系統(tǒng)工程監(jiān)理制度”，已開展的監(jiān)理單位資質(zhì)和監(jiān)理工程師資格的管理工作正在逐步完善。關(guān)于IT審計，在國際上是由國際信息系統(tǒng)審計與控制協(xié)會（ISsAcA）管理，有一套正在逐步完善的國際通用的標(biāo)準(zhǔn)規(guī)范，在我國正在開展實(shí)踐和研究。二者的具體內(nèi)涵和技術(shù)含量等方面都有明顯的不同，二者不可相互替代，是兩個行業(yè)，但它們又有著緊密的聯(lián)系。

 

　　（1）從規(guī)范化信息系統(tǒng)工程建設(shè)的管理來看，兩者的控制各有側(cè)重，缺一不可；

 

　　（2）IT審計是信息系統(tǒng)工程監(jiān)理的延伸，監(jiān)理大量信息系統(tǒng)工程建設(shè)的數(shù)據(jù)積累，為IT審計工作的開展打下了基礎(chǔ)，同時IT審計標(biāo)準(zhǔn)，也為信息系統(tǒng)工程監(jiān)理工作提供了部分量化的參考指標(biāo)。